Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!
Waterschap Drents Overijsselse Delta

Privacybeleid en -reglement Waterschap Drents Overijsselse Delta

Wetstechnische informatie

Gegevens van de regeling
OrganisatieWaterschap Drents Overijsselse Delta
OrganisatietypeWaterschap
Officiële naam regelingPrivacybeleid en -reglement Waterschap Drents Overijsselse Delta
CiteertitelPrivacybeleid en -reglement Waterschap Drents Overijsselse Delta
Vastgesteld doordagelijks bestuur
Onderwerp
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Deze regeling vervangt het Privacyreglement Waterschap Drents Overijsselse Delta en de Privacyverklaring Waterschap Drents Overijsselse Delta.

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Onbekend

Overzicht van in de tekst verwerkte wijzigingen

Datum inwerkingtreding

Terugwerkende kracht tot en met

Datum uitwerkingtreding

Betreft

Datum ondertekening

Bron bekendmaking

Kenmerk voorstel

16-02-2023nieuwe regeling

14-02-2023

wsb-2023-1711

Tekst van de regeling

Intitulé

Privacybeleid en -reglement Waterschap Drents Overijsselse Delta

Overig besluit van algemene strekking van het dagelijks bestuur van het Waterschap Drents Overijsselse Delta houdende regels omtrent de verwerking van persoons- en politiegegevens;

  • 1.

    Privacybeleid Waterschap Drents Overijsselse Delta;

  • 2.

    Privacyreglement Waterschap Drents Overijsselse Delta.

Het dagelijks bestuur van het Waterschap Drents Overijsselse Delta, in de vergadering van 14 februari 2023, gezien het voorstel met registratienummer Z/23/052193, overwegende dat het Privacybeleid en -reglement WDODelta een uitwerking vormen van de Algemene Verordening Gegevensbescherming (AVG) en de Wet politie gegevens (Wpg) en een praktische handleiding alsmede de regels en uitgangspunten geven voor de eerlijke, zorgvuldige en rechtmatige verwerking van persoons- en politiegegevens voor en binnen de organisatie,

 

Besluit:

  • 1.

    In te trekken het Privacyreglement Waterschap Drents Overijsselse Delta 2018;

  • 2.

    het onderliggende Privacybeleid en -reglement Waterschap Drents Overijsselse Delta vast te stellen.

Privacybeleid en -reglement van Waterschap Drents Overijsselse Delta

 

Voorwoord

Dit privacybeleid en reglement is van toepassing op de verwerking van persoonsgegevens conform de Algemene Verordening Gegevensbescherming en de verwerking van politiegegevens conform de Wet politiegegevens.

 

Het privacybeleid is een kader waarin wordt aangegeven aan welke principes het Waterschap Drents Overijsselse Delta zich houdt.

 

Het privacyreglement is een verdieping van het beleid en laat zien hoe Waterschap Drents Overijsselse Delta met privacy, en met name de invulling van wet- en regelgeving, omgaat. Met andere woorden: hoe het beleid in de praktijk wordt uitgevoerd.

 

In de privacygovernance wordt een koppeling gemaakt van verantwoordelijkheden die in het beleid en reglement benoemd zijn, aan rollen en/of functies.

 

De privacyverklaring is een apart document, dat specifiek bedoeld is voor de website van het waterschap, om betrokkenen te informeren over de verwerkingen die bij Waterschap Drents Overijsselse Delta plaatsvinden. In de verklaring staat hoe wij als waterschap omgaan met persoons- en politiegegevens, welke gegevens wij verwerken en waarom. Ook wordt hierin uitgelegd welke rechten betrokkenen hebben en hoe ze daar gebruik van kunnen maken.

 

1. Privacybeleid Waterschap Drents Overijsselse Delta

Inleiding

Binnen Waterschap Drents Overijsselse Delta wordt gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners (betrokkenen). Persoonsgegevens worden voornamelijk verzameld bij de burgers voor het goed uitvoeren van de wettelijke taken van het waterschap. Dat geldt voor taken op het gebied van de waterstaatskundige verzorging, de zorg voor het watersysteem en de zorg voor het zuiveren van afvalwater. De betrokkenen moet erop kunnen vertrouwen dat Waterschap Drents Overijsselse Delta zorgvuldig en veilig met de persoonsgegevens omgaat.

 

In deze tijd van nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitaal werkende overheid worden andere en zwaardere eisen aan de bescherming van gegevens en privacy gesteld. Waterschap Drents Overijsselse Delta is zich hier van bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole te nemen. De basis hiervoor, is het onderliggende beleid.

 

Waterschap Drents Overijsselse Delta geeft middels dit beleid een duidelijke richting en heldere kaders aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, medewerkers, objecten en gegevensverzamelingen van het waterschap.

 

Dit privacybeleid is in lijn met het algemene beleid van de Nederlandse overheid en de relevante lokale, regionale, nationale en Europese wet- en regelgeving.

 

Dit beleid is van toepassing op de verwerking van persoonsgegevens conform de Algemene Verordening Gegevensbescherming (hierna AVG) en de verwerking van politiegegevens conform de Wet politiegegevens (hierna Wpg).

 

De verwerking van persoonsgegevens in het kader van opsporingstaken door buitengewoon opsporingsambtenaren (hierna boa) valt niet onder de AVG, maar onder de Wpg. Waterschap Drents Overijsselse Delta is als werkgever van de boa verantwoordelijk voor deze verwerkingen.

 

Verplichtingen uit de AVG zoals de meldplicht datalekken, rechten van betrokkenen en het uitvoeren van een Data Protection Impact Assessment (hierna DPIA) gelden ook, zij het soms onder eigen voorwaarden, voor de Wpg.

 

De voor de AVG vastgestelde interne procedures worden naar analogie van de AVG toegepast op de Wpg, behalve voor de gevallen waarin de Wpg van de AVG afwijkt. In dat laatste geval zijn de procedures aangepast.

 

Wettelijke kaders voor de omgang met gegevens

Waterschap Drents Overijsselse Delta is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hiervoor gelden onder andere de volgende wettelijke kaders:

  • Algemene Verordening Gegevensbescherming (AVG);

  • Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG);

  • Wet Politiegegevens (Wpg);

  • Besluit Politiegegevens boa (Bpg boa).

Uitgangspunten

Waterschap Drents Overijsselse Delta gaat op een veilige manier met persoons- en politiegegevens om en respecteert de privacy van betrokkenen. Waterschap Drents Overijsselse Delta houdt zich hierbij aan onderliggend beleid en reglement.

 

Richtlijnen

Bij de verwerking van persoons- en politiegegevens worden naast voornoemde uitgangspunten de volgende richtlijnen toegepast:

  • Er is bewustzijn dat de verwerking van persoons- en politiegegevens aan wettelijke voorschriften is gebonden.

  • Persoons- en politiegegevens worden alleen verwerkt voor de in de wet toegestane doelen.

  • Er worden alleen persoons- en politiegegevens verwerkt voor zover die noodzakelijk zijn voor het doel van de verwerking en niet meer gegevens dan deze. Bijzondere persoonsgegevens, bijvoorbeeld over gezondheid, worden niet door Waterschap Drents Overijsselse Delta verwerkt, tenzij daartoe een wettelijke verplichting bestaat.

  • Alleen medewerkers die de persoons- en politiegegevens voor hun werk nodig hebben, hebben toegang tot de gegevens.

  • Als het doel bereikt kan worden op een manier, die minder inbreuk maakt op de privacy van betrokken, moet die manier worden gebruikt (subsidiariteit).

  • De verwerking moet altijd in verhouding staan met het onderliggende doel (proportionaliteit).

  • Indien een externe partij wordt ingeschakeld voor de verwerking van persoons- en politiegegevens, wordt een verwerkersovereenkomst (voor AVG of Wpg) afgesloten. Als er sprake is van twee verwerkingsverantwoordelijken, worden passende afspraken over de verwerking gemaakt in het contract.

  • Politiegegevens worden alleen gebruikt en bewaard op de daarvoor aangewezen locaties en systemen, in een voldoende beveiligde omgeving.

  • Indien de persoons- of politiegegevens niet meer nodig zijn en er geen noodzaak is om ze te bewaren, dan worden deze gegevens verwijderd.

  • Bij de wijziging van de verwerking van persoons- of politiegegevens, dan wel het aanvangen van een nieuwe verwerking van persoons- of politiegegevens moet geanalyseerd worden of er risico’s zijn en/of een aanpassing van het register moet plaatsvinden en/of een DPIA moet worden uitgevoerd. Hieruit kan voorkomen dat er maatregelen genomen moeten worden.

Privacy risico’s

Waterschap Drents Overijsselse Delta gaat terughoudend om met de verwerking van persoonsgegevens en politiegegevens. Betrokkenen hebben geen keuze in hun relatie met het waterschap. Waterschap Drents Overijsselse Delta handelt op grond van wettelijk toebedeelde taken en bevoegdheden en treedt soms binnen in de persoonlijke levenssfeer. Denk aan het verwerven van grond of onroerende zaken bij ingrepen in het landschap of het optreden door boa’s. Zorgvuldigheid is hierbij geboden. De risicobereidheid van WDODelta, als het gaat om de verwerking van persoonsgegevens en politiegegevens, moet gesteld worden op “terughoudend”.

 

Gedragsnormen

Ten einde voornoemde situaties te voorkomen geeft het Dagelijks Bestuur (hierna DB) opdracht aan de organisatie om een rechtmatige en een zorgvuldige verwerking van persoons- en politiegegevens te organiseren.

 

Waterschap Drents Overijsselse Delta is transparant over de bedrijfsvoering, de gegevensverwerking en de privacy-beleidsvoering en faciliteert de uitoefening van rechten door personen over wie Waterschap Drents Overijsselse Delta verwerkt. Het DB draagt het belang uit van privacy-beleidsvoering en geeft zelf het goede voorbeeld. Zo maken zij privacy bespreekbaar.

 

Risicomanagement

Het niet voldoen aan de privacywetgeving kan verregaande gevolgen hebben voor zowel betrokkenen als het waterschap.

 

Verkeerd gebruik, misbruik of verlies van persoonsgegevens, en zeker politiegegevens, kan een behoorlijke impact hebben op iemands zakelijke- en/of privéleven en kan leiden tot aanzienlijke materiële en/of immateriële schade. Het kan van invloed zijn op iemands reputatie, leiden tot discriminatie, identiteitsfraude, financiële verliezen, verlies van vertrouwelijkheid van gegevens, verlies van bedrijfsgeheimen en verhindering om rechten en/of vrijheden uit te oefenen.

 

Voor Waterschap Drents Overijsselse Delta kan het niet voldoen aan de privacywetgeving (of zelfs de schijn daarvan) leiden tot negatieve publiciteit en imagoschade. Daarnaast kan het leiden tot juridische consequenties, zoals:

  • een door de rechter opgelegd verbod op het handelen van de organisatie en de verplichting tot het treffen van herstelmaatregelen bij (dreiging van) schade;

  • vergoeding van de schade die de betrokkene heeft geleden;

  • een bindende aanwijzing, opgelegd door de Autoriteit Persoonsgegevens om binnen een termijn de aanwijzing op te volgen;

  • een bestuurlijke boete, opgelegd door de Autoriteit Persoonsgegevens tot maximaal 20 miljoen euro;

  • een last onder bestuursdwang of dwangsom opgelegd door de Autoriteit Persoonsgegevens.

Wat bepaalt het risico?

  • Grootschaligheid van de verwerking, zowel in aantal betrokkenen als hoeveelheid informatie;

  • De aard of gevoeligheid van de te verwerken gegevens;

  • De impact op de persoonlijke levenssfeer van betrokkenen.

Verantwoordingsplicht

In het kader van de AVG en de Wpg geldt dat Waterschap Drents Overijsselse Delta een verantwoordingsplicht heeft ten aanzien van de verwerking van persoons- en politiegegevens. In onderstaande tabel is aangegeven welke verplichtingen dat zijn en welke processen en producten daarmee samenhangen.

 

Verplichting

Toelichting

Processen en producten

 

Noodzakelijkheid, rechtmatigheid en doelbinding

Beoordeling van de noodzaak, de rechtmatigheid en de doelbinding van de verwerking van persoons- en politiegegevens

Privacybeleid, Privacyreglement, Privacygovernance, Informatieveiligheidsbeleid, Verwerkingsregister AVG, Verwerkingsregister Wpg

Transparantie

Inzicht geven in de manieren van verwerken

Privacyverklaring AVG, Privacyverklaring Wpg, Verwerkingsregister AVG, Verwerkingsregister Wpg

Juistheid en volledigheid van de persoons- en politiegegevens

Maatregelen om de juistheid en de volledigheid van de persoons- en politiegegevens te waarborgen

Dpia, audits, Procedure Autorisatie

Inzet externe verwerker

Bij de verwerking van persoons- en politiegegevens kunnen externe partijen betrokken zijn

Standaard verwerkersovereenkomst voor de AVG en een voor de Wpg

Bewaartermijnen

Selectielijst Waterschappen, Archiefwet, Wpg

Procedure Verwijdering, vernietiging en archivering persoons- en politiegegevens, Informatieveiligheidsbeleid, Verwerkingsregister AVG en Verwerkingsregister Wpg

Rechten van betrokkenen

Systematiek om rechten te kunnen uitoefenen

Privacyverklaring over de verwerking van persoonsgegevens, Privacyverklaring over de verwerking van politiegegevens, Procedure Rechten van betrokkenen

Register van verwerkingsactiviteiten

Overzicht van verwerkingen

Verwerkingsregister AVG en Verwerkingsregister Wpg

Incidentenbeheer

Verantwoording

Procedure Incidenten met betrekking tot persoons- of politiegegevens

Melden datalekken AP

Verantwoording

Protocol Meldplicht datalekken

Functionaris voor Gegevensbescherming

Interne toezichthouder en adviseur privacy

Aanwijzingsbesluit Functionaris voor Gegevensbescherming, Privacygovernance

Bevoegd Functionaris

Rechtmatig omgaan met politiegegevens c.q. informatie bij alle vormen van gerichte gegevensverwerking, zoals gebonden aan de doelen van artikel 9 Wpg

Aanwijzingsbesluit Bevoegd Functionaris, Privacygovernance

Autorisatie

Voor het werken met politiegegevens moet iemand goed opgeleid en geautoriseerd zijn

Procedure Autorisatie, Autorisatiematrix

Ter beschikking stellen politiegegevens

In het strafrecht is samenwerking met partners belangrijk. Het ter beschikking stellen van gegevens binnen de keten aan bevoegde derden is daarom noodzakelijk

Procedure Verstrekken en ter beschikking stellen politiegegevens, Verstrekkingenwijzer

Wpg audits

Er dienen jaarlijkse interne Wpg audits afgenomen te worden en om de vier jaar een externe audit.

Privacygovernance

 

Inwerkingstreding

Dit privacybeleid treedt in werking op 15 februari 2023.

 

Ondertekening

Aldus vastgesteld door het dagelijks bestuur van het Waterschap Drents Overijsselse Delta in de vergadering van 14 februari 2023

 

De dijkgraaf,

D.S. Schoonman,

 

De secretaris-directeur,

E. de Kruijk.

2. Privacyreglement Waterschap Drents Overijsselse Delta

In dit reglement laat Waterschap Drents Overijsselse Delta zien op welke manier zij dagelijks omgaat met persoonsgegevens, politiegegevens en privacy, en wat er wettelijk wel en niet toegestaan is.

 

Privacy speelt een belangrijke rol in de relatie tussen de burger en de overheid en staat daarmee hoog op de bestuurlijke agenda. Waterschappen hebben de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar ze actief zijn. Waterschappen zijn verplicht om zorgvuldig en veilig, proportioneel en vertrouwelijk om te gaan met het verzamelen, bewaren en beheren van persoons- en politiegegevens van burgers. Goed en zorgvuldig omgaan met persoons- en politiegegevens is een dagelijkse bezigheid van alle overheden. Het beschermen van de privacy is complex, en wordt steeds complexer door technologische ontwikkelingen en nieuwe Europese wetgeving. Daarom vinden wij het belangrijk om transparant te zijn over de manier waarop wij met persoons- en politiegegevens omgaan, en de privacy waarborgen.

Artikel 1. Wetgeving en definities

De Algemene Verordening Gegevensbescherming (hierna AVG) zorgt, samen met de Uitvoeringswet AVG (hierna UAVG), voor de eisen en kaders bij het verwerken van persoonsgegevens. De Wet politiegegevens (hierna Wpg), zorgt, samen met het Besluit politiegegevens boa (hierna Bpg boa), voor de kaders bij verwerkingen van politiegegevens door boa’s. De volgende begrippen worden in de AVG en de Wpg gebruikt (art. 4 AVG, art. 1 Wpg) en worden hieronder nader toegelicht:

 

Betrokkene: De natuurlijke persoon op wie de persoons- en politiegegevens betrekking hebben. De betrokkene is degene van wie de gegevens worden verwerkt.

 

Persoonsgegevens: Alle gegevens die gaan over betrokkenen en waarmee je een betrokkene als individu kunt identificeren. Het gaat hierbij om ieder gegeven dat te herleiden is tot een bepaald persoon (bijvoorbeeld; naam, adres, geboortedatum).

 

Bijzonder persoonsgegeven; Persoonsgegeven waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt. Ook genetische en biometrische gegevens en gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid zijn bijzondere persoonsgegevens. Het is verboden onder de AVG bijzondere persoonsgegevens te verwerken, tenzij er een wettelijke uitzondering geldt én een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens uit de AVG van toepassing is. Onder de Wpg is het ook verboden deze gegevens te verwerken, tenzij dit onvermijdelijk is voor het doel van de verwerking en in aanvulling op de verwerking van andere politiegegevens.

 

Gegevensbeschermingseffectbeoordeling: Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van de nieuwe of bestaande verwerkingen beoordeeld op de bescherming van de privacy. Dit heet ook wel een Data Protection Impact Assessment (hierna DPIA).

 

Verwerkingsverantwoordelijke: Een persoon of organisatie die alleen, of samen met een ander, het doel en de middelen voor de verwerking van persoons- of politiegegevens vaststelt.

 

Verwerker: De persoon of organisatie die de persoons- of politiegegevens verwerkt in opdracht van een verwerkingsverantwoordelijke.

 

Verwerking: Elke handeling met een persoons- of politiegegeven. Dus onder andere opschrijven, registreren, vastleggen, filmen, opnemen, raadplegen, vergelijken, wijzigen, tonen, verstrekken en wissen van persoons- of politiegegevens.

 

Politiegegeven: Een persoonsgegeven dat verwerkt wordt in het kader van de opsporingstaak. Hiervoor geldt de Wpg. Een politiegegeven is een specifieke versie van een persoonsgegeven.

Artikel 2. Reikwijdte

Het reglement is van toepassing op alle verwerkingen van persoons- en politiegegevens die binnen Waterschap Drents Overijsselse Delta plaatsvinden.

Artikel 3. Verantwoordelijke

Het Dagelijks Bestuur (hierna DB) van Waterschap Drents Overijsselse Delta is verantwoordelijken voor de verwerkingen die door of namens Waterschap Drents Overijsselse Delta worden uitgevoerd. Deze bevoegdheid is gemandateerd aan de Secretaris Directeur.

Artikel 4. Verwerkingen

Elke handeling met een persoons- of politiegegeven. Dus onder andere opschrijven, registreren, vastleggen, filmen, opnemen, raadplegen, vergelijken, wijzigen, tonen, verstrekken en zelfs wissen van persoonsgegevens zijn allemaal vormen van verwerken.

 

Waterschap Drents Overijsselse Delta houdt zich bij verwerkingen aan de volgende belangrijke uitgangspunten;

 

Doelbinding en grondslag (art. 5 en 6 AVG en art. 8, 9 en 13 Wpg)

Waterschap Drents Overijsselse Delta zorgt ervoor dat persoons- of politiegegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoons- of politiegegevens worden alleen met een rechtmatige grondslag verwerkt. Dat betekent dat de verwerking van persoonsgegevens (AVG) alleen mag plaatsvinden:

  • Om een verplichting na te komen die in de wet staat;

  • Voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;

  • Om een ernstige bedreiging voor het leven of de gezondheid van de betrokkene te bestrijden;

  • Voor de goede vervulling van de waterschappelijke taak;

  • Wanneer de betrokkene toestemming heeft gegeven voor de specifieke verwerking;

  • Als de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van het waterschap.

Voor politiegegevens zijn verwerkingsgrondslagen opgenomen in paragraaf 2 van de Wpg. Voor de boa’s van Waterschap Drents Overijsselse Delta betreft het de dagelijkse opsporingstaak, gerichte verwerkingen en ondersteunende taken (art. 8, 9 en 13 Wpg).

 

De grondslag en doelbinding zijn per verwerking opgenomen in de verwerkingsregisters.

 

Rechtmatigheid, behoorlijkheid, transparantie (art. 5 AVG en art. 3 Wpg)

Persoons- of politiegegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. De systemen worden zo ingericht, dat dit controleerbaar is. Bij de verwerkingen van politiegegevens vindt deze borging plaats door het gebruik van BRS (Boa Registratie Systeem).

 

Minimale gegevensverwerking/noodzakelijkheid (art. 5 AVG, art. 4 Wpg)

Waterschap Drents Overijsselse Delta verwerkt alleen de persoons- en politiegegevens die noodzakelijk zijn voor het vooraf bepaalde doel. De gemeente streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoons- of politiegegevens verwerkt.

 

Juistheid (art. 5 AVG, art. 4 Wpg)

Waterschap Drents Overijsselse Delta zorgt ervoor dat, binnen de grenzen van de redelijkheid, de persoons- of politiegegevens kloppen en volledig zijn voordat ze verwerkt worden. Deze gegevens worden alleen verwerkt door personen met een geheimhoudingsplicht en de benodigde autorisatie.

 

Daarnaast beveiligt Waterschap Drents Overijsselse Delta alle persoons- en politiegegevens. Dit moet voorkomen dat de persoons- en politiegegevens kunnen worden ingezien of gewijzigd door iemand die daar geen recht toe heeft.

 

Voor de politiegegevens is het proces van verwijdering, vernietiging en archiveren geborgd in het Boa Registratie Systeem (BRS). Alleen de Bevoegd Functionaris (hierna BF) heeft de bevoegdheid zo nodig correcties en vernietigingen door te voeren in BRS, voor de gevallen dat dit niet geautomatiseerd kan. Alle verwerkingen die in BRS plaatsvinden worden daarbij gelogd en zijn daardoor als zodanig controleerbaar.

 

Opslagbeperking (art. 5.1.e AVG, art. 14 Wpg)

Persoons- en politiegegevens worden niet langer bewaard dan nodig is. Het bewaren van persoons- en politiegegevens kan nodig zijn om de taken van Waterschap Drents Overijsselse Delta goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.

 

Integriteit en vertrouwelijkheid (art. 5 AVG, art. 4a Wpg)

Waterschap Drents Overijsselse Delta gaat zorgvuldig om met persoons- en politiegegevens en behandelt deze vertrouwelijk. Zo worden persoons- en politiegegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt Waterschap Drents Overijsselse Delta voor passende beveiliging van persoons- en politiegegevens.

 

De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking van persoons- en politiegegevens wordt verricht in overeenstemming met hetgeen in de wet is bepaald en om een beveiligingsniveau te waarborgen dat op het risico is afgestemd.

 

Bij politiegegevens heeft de BF de taak om steekproeven te doen bij de medewerkers die opgenomen zijn in de autorisatiematrix.

 

Doorgifte (art. 44 t/m 50 AVG)

Waterschap Drents Overijsselse Delta geeft geen persoonsgegevens door aan een land buiten de Europese Unie (EU) of een internationale organisatie, tenzij daartoe een wettelijke verplichting bestaat. Binnen de EU bestaat dezelfde mate van bescherming van persoonsgegevens en bij doorgifte hoeft daarom alleen aan de algemene eisen uit de AVG voldaan te worden.

 

Delen met derden (AVG)

Waterschap Drents Overijsselse Delta geeft alleen persoonsgegevens door aan derden, als daar een goede reden voor is en als is voldaan aan de voorwaarden uit de AVG. In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt Waterschap Drents Overijsselse Delta afspraken over de eisen waar gegevensuitwisseling aan moet voldoen. Waterschap Drents Overijsselse Delta controleert deze afspraken periodiek.

 

Ter beschikking stellen (art. 15 Wpg)

‘Free flow of information’, in principe worden politiegegevens gedeeld met eenieder die de gegevens noodzakelijk heeft voor de uitoefening van zijn taak. Bij dit ‘need to know’-principe dient altijd een noodzakelijkheids-, proportionaliteits- en subsidiariteitsafweging te worden gemaakt.

 

De Wpg kent een gesloten verstrekkingenregime, wat betekent dat in de Wpg staat aan wie de boa gegevens mag verstrekken.

 

Het Wpg domein bestaat uit: politie, marechaussee, rijksrecherche, Bijzondere Opsporingsdiensten (BOD), boa’s.

 

Verstrekken (art. 6, 7 Bpg, art. 16 t/m 24 Wpg)

Het delen van politiegegevens buiten het Wpg domein, kan onder voorwaarde. Denk hierbij aan het delen met de belastingdienst, Centraal Justitieel Incassobureau of een advocaat.

Artikel 5. Transparantie en communicatie

Wet open overheid (Woo)

Via een Woo verzoek wordt een verzoek om informatie ingediend bij het waterschap. Bij het verzoek bekijkt Waterschap Drents Overijsselse Delta altijd of het antwoord geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. In principe worden geen persoonsgegevens verstrekt. Als documenten, met daarin persoonsgegevens openbaar gemaakt worden, dan worden deze persoonsgegevens geanonimiseerd.

 

Politiegegevens worden niet op grond van de Woo openbaar gemaakt, omdat de Wpg een bijzondere openbaarmakingsregeling kent, die voorgaat op de werking van de Woo (art. 8.8 Woo).

 

Wet hergebruik van overheidsinformatie

De Wet hergebruik van overheidsinformatie regelt het op verzoek verstrekken van overheidsinformatie voor hergebruik. Bij het behandelen van een verzoek bekijkt Waterschap Drents Overijsselse Delta altijd of verstrekking geen inbreuk maakt op de persoonlijke levenssfeer van betrokkenen. Er worden geen persoonsgegevens verstrekt, tenzij er een wettelijke grondslag is. Politiegegevens worden op grond van deze wet niet verstrekt.

 

Informatieplicht (art. 13 en 14 AVG, art. 24 Wpg)

Waterschap Drents Overijsselse Delta informeert betrokkenen over het verwerken van persoons- en politiegegevens. Wanneer betrokkenen gegevens aan Waterschap Drents Overijsselse Delta geven, worden zij op de hoogte gesteld van de manier waarop Waterschap Drents Overijsselse Delta met persoons- en politiegegevens om zal gaan. Dit gebeurt veelal via de Privacyverklaring. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat Waterschap Drents Overijsselse Delta persoons- en politiegegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt.

 

Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene zo nodig geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

 

Op de internetpagina van Waterschap Drents Overijsselse Delta worden de Privacyverklaring AVG en Wpg geplaatst om de betrokkenen te informeren over welke verwerkingen er plaatsvinden, welke rechten zij hebben en hoe zij van deze rechten gebruik kunnen maken.

 

Bewaartermijn en opslagbeperking (art. 5 AVG, art. 14 Wpg)

Waterschap Drents Overijsselse Delta bewaart de persoons- en politiegegevens niet langer dan nodig is voor de uitvoering van haar taken, of zoals vastgelegd in de Archiefwet, Selectielijst Waterschappen 2012 of de Wpg. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

 

Rechten van betrokkenen (art. 13 t/m 20 AVG, art. 24 t/m 28 Wpg)

De wet bepaalt niet alleen de plichten van degenen die de persoons- en politiegegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt.

 

Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

  • Recht op informatie: Betrokkenen hebben het recht om aan Waterschap Drents Overijsselse Delta te vragen of zijn/haar gegevens worden verwerkt.

  • Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, zijn/haar gegevens worden verwerkt, dit betreffen ook vertrekkingen aan derden. Slechts in uitzonderlijke gevallen mag dit worden geweigerd, bijvoorbeeld als de veiligheid van de staat in gevaar komt of als het leidt tot schending van de rechten van anderen.

  • Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij Waterschap Drents Overijsselse Delta om dit te corrigeren.

  • Recht van verzet: Betrokkenen hebben het recht aan Waterschap Drents Overijsselse Delta te vragen om hun gegevens niet meer te gebruiken.

  • Recht om vergeten te worden: In bepaalde in de AVG opgesomde gevallen, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen. Dit kan ook onder de Wpg, eventueel door de gegevens niet te verwijderen maar af te schermen.

  • Recht op overdraagbaarheid van gegevens: Betrokkenen hebben het recht om de door hen aan Waterschap Drents Overijsselse Delta verstrekte persoonsgegevens in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen en aan een andere verwerkingsverantwoordelijke te laten overdragen (niet van toepassing binnen Wpg).

  • Recht op bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van zijn/haar persoons- of politiegegevens. Waterschap Drents Overijsselse Delta zal hieraan voldoen, tenzij er gerechtvaardigde gronden zijn voor de verwerking.

Indienen van verzoek

Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als via de e-mail ingediend worden. Waterschap Drents Overijsselse Delta heeft vier weken de tijd, vanaf de ontvangst van het verzoek, om te beoordelen of het verzoek gerechtvaardigd is. Binnen vier weken zal Waterschap Drents Overijsselse Delta laten weten wat er met het verzoek gaat gebeuren. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om bezwaar te maken bij Waterschap Drents Overijsselse Delta, of een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan Waterschap Drents Overijsselse Delta, indien noodzakelijk, aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

Artikel 6. Plichten van het waterschap

Register van verwerkingen (art. 30 AVG, art. 31 Wpg)

Waterschap Drents Overijsselse Delta is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan Waterschap Drents Overijsselse Delta de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt, namelijk:

  • De rol van de verwerkingsverantwoordelijke en, mogelijk, een aanspreekpunt;

  • De doelen van de verwerking;

  • De grondslag van de verwerking;

  • Een beschrijving van het soort persoons- of politiegegevens en de daarbij horende betrokkenen;

  • Een beschrijving van de ontvangers van de persoons- of politiegegevens;

  • Een beschrijving van de verwerking;

  • De herkomst van de gegevens;

  • Een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;

  • De termijnen waarin de verschillende persoons- of politiegegevens moeten worden gewist;

  • Een algemene beschrijving van de beveiligingsmaatregelen.

Het register van verwerkingen in het kader van de Wpg kent aanvullende eisen:

  • het bestaan van profilering;

  • de categorieën van gegevens die worden doorgegeven buiten de EU;

  • de toekenning van autorisaties.

Autorisatiematrix politiegegevens (art. 6 Wpg)

Waterschap Drents Overijsselse Delta onderhoudt een systeem van autorisaties aangaande het verwerken van politiegegevens dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid, een zogenaamde autorisatiematrix.

 

De werkgever van de boa kan personen autoriseren om (bepaalde) politiegegevens te verwerken, die onder zijn beheer werken, maar geen boa zijn. Dit is mogelijk op grond van artikel 6 lid 4 Wpg en artikel 3 van het Bpg boa. De werkgever dient dit vast te leggen, inclusief een beschrijving om wat voor soort gegevens het gaat, om wat voor soort verwerking het gaat en voor hoelang ze verwerkt worden. Deze bevoegdheid wordt bij de BF neergelegd, in diens aanwijzingsbesluit.

 

Gegevensbeschermingseffectbeoordeling (art. 35 AVG, art. 4c Wpg)

Met een gegevensbeschermingseffectbeoordeling worden de effecten en risico’s van nieuwe of bestaande verwerkingen beoordeeld op risico’s met betrekking tot privacy. Waterschap Drents Overijsselse Delta voert deze uit wanneer er een nieuwe of gewijzigde geautomatiseerde verwerking, een grootschalige verwerking, of wanneer er een grootschalige monitoring van openbare ruimten plaatsvindt. Dit geldt in het bijzonder bij verwerkingen waarbij nieuwe technologieën worden gebruikt.

 

Aanstellen Functionaris voor gegevensbescherming (hierna FG) (art. 37 t/m 39 AVG, art. 36 Wpg)

Waterschap Drents Overijsselse Delta stelt een FG aan. De FG houdt toezicht bij alle aangelegenheden die verband houden met de bescherming van persoons- en politiegegevens. De taken van de FG zijn informeren, adviseren, toezicht houden, bewustwording creëren, en optreden als contactpersoon van de AP. Het is niet de bedoeling dat de FG de taken op het gebied van bescherming van de privacy van de afdelingen overneemt. Een nieuwe verwerking, die niet onder een reeds omschreven verwerking in een van de verwerkingsregisters valt, van persoons- en politiegegevens wordt eerst aan de FG gemeld voordat de verwerking begint. De FG is verantwoordelijk voor het structureel toetsen van de implementatie en de uitvoering van de wettelijke eisen en de richtlijnen op het gebied van privacy.

 

De FG voor de AVG functioneert tevens als FG voor de Wpg.

 

Aanstellen Bevoegd Functionaris politiegegevens (art. 2:10 lid 1 Bpg)

Dit is de ‘hoeder’ van de gegevens die onder artikel 9 Wpg worden verwerkt. Het moet een persoon zijn met voldoende kennis en vaardigheden over dit type gegevens. Deze BF beslist bijvoorbeeld wie er toegang mag hebben tot deze gegevens en of ze verstrekt kunnen worden aan een samenwerkingspartner. Iedere artikel 9-verwerking dient een BF te hebben. De BF wordt aangewezen door het DB van het waterschap.

 

Melden datalekken (art. 33 en 34 AVG, art. 33 Wpg)

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoons- of politiegegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Wanneer er een datalek heeft plaatsgevonden meldt Waterschap Drents Overijsselse Delta dit zonder onredelijke vertraging, uiterlijk 72 uur nadat er kennis van de inbreuk is vernomen, aan de AP, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van de betrokkenen inhoudt. Als dit later dan 72 uur is wordt er een motivering voor de vertraging bij de melding gevoegd. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval informeert Waterschap Drents Overijsselse Delta de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.

 

Privacy-audits politiegegevens (art. 6 Bpg)

Het is verplicht twee jaren na inwerkingtreding van de wet de verwerkingsverantwoordelijke een externe ‘privacy-audit’ uit te voeren. Dit dient te gebeuren conform de regels uit de Regeling periodieke audit politiegegevens. Daarna moet dat elke vier jaar herhaald worden. De audit heeft betrekking op de wijze waarop de verwerkingen georganiseerd zijn, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures. Naar aanleiding van de uitkomsten van de audit dient Waterschap Drents Overijsselse Delta een verbeterplan op te stellen en uit te voeren. Zowel de uitkomst van de externe audit als het verbeterplan dienen met de AP gecommuniceerd te worden. Tevens dient er ieder jaar een interne audit te worden uitgevoerd.

Voor de AVG is een interne audit-cyclus ingericht.

Artikel 7. Klachten

Als Waterschap Drents Overijsselse Delta een wettelijke verplichting niet nakomen kan de betrokkene een klacht indienen. Deze zal via onze klachtenregeling worden behandeld. Daarnaast kan de betrokkene een klacht indienen bij de FG en/of de AP.

Artikel 8. Intrekken

Ingetrokken worden het Privacyreglement Waterschap Drents Overijsselse Delta en de Privacyverklaring Waterschap Drents Overijsselse Delta, vastgesteld op 2 mei 2018.

Artikel 9. Inwerkingtreding

Dit privacyreglement treedt in werking op 15 februari 2023.

 

Ondertekening

Aldus vastgesteld door het dagelijks bestuur van het Waterschap Drents Overijsselse Delta in de vergadering van 14 februari 2023

De dijkgraaf,

D.S. Schoonman,

De secretaris-directeur,

E. de Kruijk.